互補協議資產掃描系統的設計與實現

丁岳偉, 高 強, 何 璐

(1.上海理工大學光電信息與計算機工程學院,上海 200093;2.上海市信息安全綜合管理技術研究重點實驗室,上海 200030)

隨著信息技術的快速發展,計算機網絡已經滲入到社會經濟的各個角落.網絡的日趨擴大、設備的日趨復雜使得網絡的管理難度越來越大.網絡管理員就需要盡可能全面地獲得網絡的各種信息,管理整個網絡.

本文采用多種協議互補多線程掃描的方式來設計并實現了一個局域網環境下的資產掃描軟件,用于獲取整個局域網的軟硬件信息.資產包括硬件和軟件資源.本文主要采用Arp協議、Netbios協議、Snmp協議、Wmi和IPC＄空連接的方法,并通過對上述幾種協議的分析,獲得在一般情況下所能得到局域網信息的最大集和最小集.最后通過實驗測試得出,采用多線程方式能夠明顯提高掃描的速度,而多協議互補的方式也能夠提升信息獲取的成功率.

1 相關協議介紹

為了設計多協議互補資產掃描系統,先介紹相關協議的原理.

1.1 Arp協議[1]

地址轉換協議Arp是個鏈路層協議.在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址.這個目標MAC地址就是通過地址解析協議獲得的.地址解析就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程.Arp協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行.

1.2 Netbios協議[2]

Netbios(網絡基本輸入/輸出系統)協議是一種在局域網上的程序可以使用的應用程序編程接口(API),為程序提供了請求低級服務的統一的命令集,作用是為了給局域網提供網絡以及其他特殊功能,幾乎所有的局域網都是在Netbios協議的基礎上工作的.

1.3 Snmp協議[3]

Snmp(簡單網絡管理協議)是由互聯網工程任務組(IETF))定義的一套網絡管理協議.該協議基于簡單網關監視協議(SGMP).利用Snmp,一個管理工作站可以遠程管理所有支持這種協議的網絡設備,包括監視網絡狀態、修改網絡設備配置及接收網絡事件警告等.

1.4 Wmi[4]

Wmi(Windows管理規范)是 Microsoft基于Web的企業管理(WBEM)的實現,同時也是一種基于標準的系統管理接口.Wmi是一種輕松獲取系統信息的強大工具.在Wmi中有一種查詢語言,類似于SQL語言,這種語言叫WQL(wmi query language).通過這個查詢語言可以獲取大量的管理信息.

1.5 其他方法

1.5.1 Ping方法

Ping方法目的是為了測試另一臺主機是否可達.該方法發送一份ICMP回顯請求報文給主機,并等待返回ICMP回顯應答.Ping程序還能測出到這臺主機的往返時間,以表明該主機與本機的“距離”.

1.5.2 IPC＄空連接方法

IPC＄(internet process connection)是共享命名管道的資源,它是為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的權限,在遠程管理計算機和查看計算機的共享資源時使用.利用IPC＄,連接者甚至可以與目標主機建立一個空的連接而無需用戶名與密碼,而且利用這個空的連接,連接者還可以得到目標主機上的用戶列表等信息.

2 多協議下的限制條件及信息集分析

2.1 各協議限制條件

各種不同的協議都有自己的使用環境,該多協議資產掃描方法所涉及的多個協議也有其各自的限制條件.只有滿足其自身的限制條件,該協議才能夠正常運行.具體分析結果如表1所示.其中,√表示需要滿足該條件才能運行,×表示不需要滿足該條件.

表1 相關協議限制條件Tab.1 Chart1 restriction conditions of protocols

如表1所示,所有相關協議的共同限制條件為目標開機并且非旁路,這一條件是研究該多協議互補方法的前提條件.

排除該前提條件限制,分析表1可以得出:當且僅當限制條件3和4同時不滿足的時候,才完全獲取不到任何信息;否則,必然能夠獲取到一定的信息.

2.2 信息集分析

假設在滿足所有協議、方法的限制條件下,這些方法可以獲得各種信息.

通過Arp協議,主要可以獲得的信息 InfoArp為:a.給定的IP段中存活的機器;b.目標設備上與掃描的IP地址對應的這塊網卡的MAC地址;c.目標設備的主機名.

通過Netbios協議,主要可以獲得的信息InfoNetbios為:a.操作系統信息;b.共享列表信息;c.用戶列表信息;d.本地組列表信息;e.組列表信息;f.特定組內的用戶信息;g.傳輸協議信息;h.會話列表信息.

通過Snmp協議,主要可以獲得的信息InfoSnmp主要是Mib庫中所包含的信息,包括系統信息、用戶信息、網絡信息及硬件信息等幾乎所有的管理所需要的信息.

通過Wmi,主要獲得的信息InfoWmi為:a.操作系統信息,包括時區、驅動程序、磁盤分區、邏輯磁盤、系統服務及共享等信息;b.硬件信息,包括CPU、物理內存、鍵盤、硬盤、主板、串口、并口及網絡適配器等信息.Wmi也提供了管理員需要的幾乎所有的信息.

通過Ping方法,主要獲得的信息InfoPing為:a.給定的IP段中存活的機器;b.目標主機的網絡“距離”.

通過IPC＄空連接方法,主要獲得的信息InfoIPC為:a.操作系統信息;b.用戶信息.

圖1用集合的方式顯示了各協議可獲取的信息集.

圖1 各協議獲取信息集Fig.1 Information set of protocols

分析各個協議方法可獲得的信息集,可以得出如下幾點:

a.InfoIpc∪InfoNetbios∪InfoWmi=InfoArp,即Arp所能獲得的信息,Ipc、Netbios和Wmi均能獲得.

b.InfoIpc∪InfoNetbios∪InfoWmi∪InfoArp∈InfoSnmp,即Ipc、Netbios、Wmi和Arp所能獲得的信息集屬于Snmp所能獲得的信息集.

c.InfoPing∪InfoSnmp=?,Ping所能獲得的信息(主機間延時)是其他所有協議都不能獲得的.

根據上述的討論分析可以進行更深入的研究,即多協議互補信息掃描在一般情況、最差情況和最好情況下所能獲得的信息.

首先討論一般情況,局域網中Wmi服務開啟, IPC＄提供,Snmp協議未安裝,防火墻開放端口,此時,Infou=InfoPing∪InfoArp∪InfoIPC∪InfoNetbios∪Infowmi;

然后討論最差的情況,局域網中Wmi服務開啟,IPC＄提供,Snmp協議未安裝,防火墻關閉所有端口,此時,Infomin=InfoArp;

最后討論最好的情況,局域網中Wmi服務開啟, IPC＄提供,Snmp協議安裝并開啟,防火墻開放所有端口,此時,Infomax=InfoPing∪InfoArp∪InfoIPC∪InfoNetbios∪InfoWmi∪InfoSnmp=InfoSnmp∪InfoPing.

在實際的應用中,可以通過上述的分析來設計應用流程,可明顯提高程序的運行效率.

3 案例及測試

根據上述原理實現了一個基于多協議的局域網資產掃描系統.該系統通過Arp協議、Netbios協議、Snmp協議、Wmi、Ping方法和IPC＄空連接方法來獲取局域網(包括同網段和非同網段)資產的信息,這里獲取的信息主要列舉了網絡管理的一些信息,如操作系統信息、MAC地址、IP地址、主機名、設備類型和操作系統版本.系統獲取到信息后通過XM L的格式顯示出來.在整個程序中,將主要的獲取信息功能做成動態鏈接庫文件,然后可以用程序語言VC、Java等方法調用.

通過分析各個協議、方法,可以得出其所能獲得的信息,如圖2所示.

圖2 信息列表Fig.2 Information list

在本程序中,由于Infomax=InfoSnmp,所以,一旦滿足Snmp協議的限制條件,立即使用Snmp方法來獲取信息;而InfoWmi=InfoIPC,所以,一旦他們其中一個成功獲取信息,另外一種方法將不執行;而InfoPing∈InfoArp∈InfoNetbios,所以,Netbios在這三者中具有最高的優先度,只有當Arp和Netbios都獲取不到信息時,才用到Ping方法.而只有當Netbios獲取不到信息時,才用到Arp協議.具體功能流程如圖3所示.

圖3 程序流程圖Fig.3 Program flow chart

本系統還采用多線程的方式,關鍵代碼如下:

通過采用多線程機制可以明顯改善程序的效率,如表1測試所得.為了測試多線程對程序效率的提高,在測試中為方便比較,其中多線程統一采用64為測試值,在實際應用中可以根據局域網情況調整線程數.采用多協議的資產掃描模型可以最大限度地獲取資產信息.如表1所示,互補率表示在一個IP上采用多協議獲取信息的使用率.

如圖4所示,采用多線程機制可以明顯提升程序的運行效率.n這IP個數,t為掃描時間.在圖5中,互補率η表示在一個IP上采用多協議獲取信息的使用率,實現結果很明顯地表明,在一次掃描中,運用到多個協議來獲取信息的可能性非常高,而且隨著設備個數的增多,運用到多協議互補的可能性更高.

圖4 多線程和單線程測試比較Fig.4 Comparison between multi-thread and single-thread

圖5 協議互補率測試Fig.5 Protocols complement test

在測試時,程序處于由交換機、路由器、計算機主機及網絡打印機等構成的3層架構網絡環境.并通過編寫VC程序來調用這個動態鏈接庫文件,效果圖如圖6(見下頁)所示.

最終可以獲得如下的XML文件來顯示單個IP的信息,包括通過多種協議獲得所有信息、掃描起止時間和掃描用到的協議或方法名.

圖6 程序運行效果圖Fig.6 Program running result

4 結束語

隨著網絡規模的日趨擴大,設備越來越復雜,網絡管理的難度越來越大.本文通過分析多種協議和方法的限制條件以及可獲得信息的集合,設計并實現了多線程多協議互補方式的資產掃描程序.根據各種方法所能獲得的信息集,設計程序流程,使得該程序盡可能多地獲得網絡管理所需要的信息.經過實驗測試,采用多線程多協議方式能夠明顯提升系統的運行效率和信息獲取量.

致謝:感謝上海市信息安全綜合管理技術研究重點實驗室開放課題資助.

[1] PLUMMER D C.RFC826-Ethernet Address Resolution Protocol[S].Network Working Group,1982.

[2] 王榮華,王永強.局域網監控管理技術[J].信息網絡安全.2004(1):37-40.

[3] CASE J.RFC1157-Simple Network M anagement Protocol[S].Network Working Group,1990.

[4] 任建基,胡延平,陳俊峰,等.基于WMI技術的局域網計算機設備的監測[J].計算機工程與應用,2006(25): 134-136.

[5] 何鵬,邱建林,顧翔.基于SNM P的遠程主機檢測系統設計與實現[J].計算機工程與設計,2008,29(13):3 303-3 306.